- •Экспертный аудит
- •Тест на проникновение (пентест)
- •Аудит безопасности web-приложений
- •Автоматическое сканирование
- •Метод «черного ящика» (Black Box)
- •Метод «белого ящика» (White Box)
- •Оценка рисков
- •Выработка рекомендаций
- •Внедрение мер по обеспечению информационной безопасности
- •Аудит информационных систем
- •Комплексный аудит
- •Подготовка к сертификации на соответствие международному стандарту iso/iec 27001:2005
Комплексный аудит
Комплексный аудит информационной безопасности представляет собой исследование текущего состояние информационной безопасности организации, получения объективной оценки уровня ее защищенности, а так же разработку рекомендаций ее совершенствования по результатам проведенного аудита.
Каковы преимущества комплексного аудита?
Результатом комплексного аудита информационной безопасности является получение наиболее полной, объективной и независимой оценки текущего состояния информационных систем. По сути, комплексный аудит информационной безопасности объединяет в себе другие виды аудита информационной безопасности и предоставляет Заказчику оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних. В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:
-
Экспертный аудит
-
Тест на проникновение
-
Аудит Web-безопасности
-
Аудит информационных систем
Стоит сразу заметить, что условия и состав проводимых в рамках комплексного аудита работ заранее обсуждаются и утверждаются Заказчиком. Аудит информационной безопасности можно провести как силами внутренних специалистов компании, так и с привлечением внешних консультантов. Необходимо заметить, что проведение аудита сотрудниками организации не всегда приводит к получению всесторонне объективной и независимой оценки, поэтому большая часть заинтересованных компаний предпочитает пользоваться услугами внешних консультантов по вопросам информационной безопасности.
Основные этапы комплексного аудита информационной безопасности.
В общем случае проведение комплексного аудита информационной безопасности подразумевает следующее:
-
Исследование информационной системы и бизнес-процессов компании (как объектов защиты), анализ и построение модели взаимодействия компонентов информационных систем, используемых при обеспечении бизнес-процессов организации;
-
Определение ценности и выявление наиболее значимых компонент и узлов информационных систем для обеспечения работы бизнес-процессов;
-
Выявление требований к существующей системе информационной безопасности, анализ структуры, функций и особенностей существующей системы защиты информации в автоматизированной системе компании, анализ настроек штатных средств защиты, операционных систем серверов и коммуникационного оборудования;
-
Проведение тестов на проникновение информационной среды компании;
-
Оценка рисков, связанных с реализацией угроз информационной безопасности, направленных на наиболее значимые активы;
-
Анализ существующей системы обеспечения информационной безопасности выявленным требованиям и подготовка заключения.
-
Разработка рекомендаций направленных на повышение текущего уровня информационной безопасности организации в соответствии с предъявляемыми требованиями и разработка предложений по снижению рисков информационной безопасности.
Результаты комплексного аудита информационной безопасности.
По результатам проведенных работ компания получает детальный отчет, в котором содержится информация о всех выявленных недочетах, уязвимостях и слабых местах корпоративной информационной системы, инфраструктуры и организационных мер, обнаруженных в ходе проведения исследования. На основании информации полученной в ходе проведения аудита информационной безопасности формируются рекомендации по доработке и улучшению уровня информационной безопасности организации.